Please enable JavaScript.
Coggle requires JavaScript to display documents.
Access Management Josué Espinoza (Actividades (1. Solicitar Acceso.…
Access Management
Josué Espinoza
Proceso de otorgar los derechos a utilizar un servicio a un usuario autorizado y prevenir que los usuarios que no lo estén lo usen
Propósito :red_flag:
y Alcance
Proveer acceso a uno o varios usuarios autorizados mediante políticas de seguridad
Ejecución de las políticas de seguridad de información para gestionar confidencialidad, derecho al uso e integridad de los datos.
Objetivos :checkered_flag:
Administrar los accesos especificados en la política de seguridad de la información
Responder eficientemente a las solicitudes de acceso
Asegurar derechos de uso sobre los servicios
Valor :star:
Asegurar accesos controlados
Asegurar que todos los colaboradores tienen los permisos para laborar efectivamente
Reducir errores de CRUD de datos por usuarios no autorizados
Proveer capacidades para auditar los usos y rastrear abusos
Actividades
1. Solicitar Acceso
. Mediante RFC, solicitud, script preautorizado
2. Verificación
. Que el usuario sea quien dice que es, que tiene un requerimiento legítimo por el servicio
3. Proveer Derechos
. Mediante roles (gestionar roles de manera que no tengan conflicto entre sí)
4. Revisar y monitorear el estado de la identidad
. Por ej.: cambios de puesto, acción disciplinaria, retiro de la empresa
5. Registrar y rastrear accesos
. Detección.
6. Remover o restringir accesos
Principios
Acceso
: nivel y alcance de la funcionalidad de un servicio que un usuario puede utilizar
Identidad
: información que distingue entre usuarios
Privilegio
: condiciones por las cuales un usuario tiene acceso a un servicio o grupo de servicios
Relaciones
Triggers
: solicitud de acceso a un servicio o grupo de ellos, puede venir de solicitud normal, RFC o RRHH.
Entradas
: políticas de seguridad de la información, RFCs para otorgar derechos
Salidas
: provisión, registro, denegación de accesos
Interfaces
: gestión de la demanda, seguridad de la información, estrategia, catálogo de servicios, cambios...
KPIs y Riesgos
Porcentaje de incidentes provenientes de problemas de accesos, tiempos en proveer los accesos, disminución en problemas de hallazgos de auditorías
Monitoreo y reporteo de accesos, verificar identidades de usuarios y autorizadores, falta de tecnologías apropiadas para la verificación, controlar accesos del back-door, firewall